Forum Security-X > Désinfections
[Hayden76] Infection par un virus gendarmerie nationale-fichiers locked [Résolu]
Hayden76:
Salut à tous.
J'ai moi aussi été infecté, tous mes fichiers sont locked.
Je pense pouvoir récupérer un fichier sain sur un autre ordi et un fichier infecté sur ma machine.
J'ai fait un scan OTL comme c'était conseillé.
Voici le fichier OTL.txt
http://pjjoint.malekal.com/files.php?id=20120510_e5o6w11n14q13
Et le fichier Extra.txt
http://pjjoint.malekal.com/files.php?id=20120510_w11d13i14f7u6
C'est grave ? merci pour votre coup de Pouce
Hayden
Hayden76:
Une solution qui a fonctionné pour moi. En tout cas pour l'instant, car le logiciel est en plein travail en ce moment.
Ce logiciel c'est l'anti-malware Kapersky qui a réussi à décrypter et récupérer les fichiers Locked. :sup:
Le soft de désinfection Kapersky Trojan-Ransom.Win32.Rannoh Decryptor Tool est très efficace.
Il faut cependant avoir une copie d'un fichier "sain" et son "clone" crypté par le malware.
Ensuite, la marche à suivre est très simple et intuitive.
Par contre la désinfection d'un gros fichier peut prendre près de 30 minutes pour un Film HD de 15 Go. :AAM
Donc armez-vous de patience.
Voici le lien que j'ai utilisé :
http://jeje-info.blogspot.fr/2012/04/edit-solution-decrypter-fichier-infecte.html
Dîtes-moi si ça a marché pour vous, bon courage avec cet horrible virus
chantal11:
Bonjour Hayden76 et bienvenue sur le forum,
--- Citer ---Le soft de désinfection Kapersky Trojan-Ransom.Win32.Rannoh Decryptor Tool est très efficace.
--- Fin de citation ---
Oui, j'indiquais la marche à suivre dans l'autre sujet
http://forum.security-x.fr/desinfections/infection-par-un-virus-gendarmerie-nationale/msg67404/#msg67404
Tu as donc pu récupérer tous les fichiers indiqués locked ?
J'étudie tes rapports pour continuer le nettoyage.
@+
Hayden76:
Non pas tous pour l'instant, mais la récuération est en cours donc c'est bien parti.
Peux-tu préciser Chantal d'après l'analyse de mes fichiers issus de l'analyse OTL de quelle infection j'ai été victime ? J'ai lu quelque part qu'il y en avait 3 principales associées à "Gendarmerie".
Merci
chantal11:
Re,
Le ransomware virus-gendarmerie a eu la part belle sur ton système qui n'est pas à jour (Java, Adobe Reader, Flash Player).
Ces failles de sécurité sont très prisées par toutes les variantes du Virus Gendarmerie.
http://forum.security-x.fr/malwares-315/%28fiches-malware%29-roguescareware-et-ransomware/
http://forum.security-x.fr/malwares-315/%28malware%29-suppression-virus-gendarme-3745/
Quand tu auras récupéré tous tes fichiers indiqués locked , applique ce qui suit.
----------------------------------------------------------------------------------------------
OTL :
[*] Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
[*] Copie l'intégralité de ce script ci-dessous
--- Citer ---:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/webscout/{E40900E1-A828-4232-92B4-E996FA957F55}
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1700389
IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found
IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\WebScout Toolbar\tbhelper.dll ()
IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=5137
IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/webscout/{E40900E1-A828-4232-92B4-E996FA957F55}?q={searchTerms}
IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1700389
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {69A0352C-6112-2797-35A5-CB51C4268042} - No CLSID value found.
O2 - BHO: (no name) - {ba412d26-9ab5-f045-7850-ff61d87f8dad} - No CLSID value found.
O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files (x86)\WebScout Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (WebScout Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files (x86)\WebScout Toolbar\tbcore3.dll ()
O3 - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2010/11/12 15:24:41 | 000,000,000 | ---D | M] -- C:\Users\Kamel\AppData\Roaming\ClickPotatoLite
[2011/10/23 04:15:00 | 000,000,352 | ---- | M] () -- C:\Windows\Tasks\Driver Robot.job
[2011/10/23 04:49:00 | 000,000,334 | ---- | M] () -- C:\Windows\Tasks\PC Medkit.job
[2011/04/15 16:16:50 | 000,099,384 | ---- | M] () -- C:\Users\Kamel\AppData\Roaming\inst.exe
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:888AFB86
:files
C:\Windows\TEMP\E_SA63D.tmp
C:\Windows\TEMP\E_S8249.tmp
:reg
HKU\S-1-5-21-92678074-1496417961-300675889-1000\Software\Microsoft\Windows\CurrentVersion\Run
"EPSON SX110 Series (Copie 1)"=-
"EPSON SX110 Series (Copie 2)"=-
"AdobeBridge"=-
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"NPSStartup"=-
[HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"mctadmin"=-
[HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"mctadmin"=-
:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]
--- Fin de citation ---
[*] Colle l'intégralité du code dans le cadre Personnalisation
[*] Clique ensuite sur le bouton Correction
[*] L'outil lance la suppression, ne pas l'interrompre
[*] Si l'outil te demande de redémarrer le PC, tu acceptes
[*] Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure[/list]
----------------------------------------------------------------------------------------------
Puisque tu as Malwarebytes sur ton système, fais une analyse complète :
Malwarebyte's Anti-Malware :
[*]Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
[*]Lance une mise à jour dans l'onglet Mise à jour
[*]Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
[*]Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
[*]Sélectionne ton disque dur, puis clique sur Lancer l'examen
[*]A la fin du scan, clique sur Afficher les résultats
[*]Pour supprimer les éléments détectés, clique sur Supprimer la sélection
[*]Si un redémarrage est demandé, clique sur Yes
[*]Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse[/list]
---------------------------------------------------------------------------------------------
SX Check&Update :
[*]Ferme toutes les applications, y compris ton navigateur
[*]Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
[*]Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
http://get.adobe.com/fr/flashplayer/
[*]Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
http://www.java.com/fr/download/
[*]Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
http://get.adobe.com/fr/reader/?promoid=HTEGU
[*] N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
[*]Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
[*]Copie-colle le contenu de ce rapport dans ta prochaine réponse.[/list]
---------------------------------------------------------------------------------------------
Sont attendus les rapports :
[*] C:\_OTL\MovedFiles\********_******.log
[*] mbam-log[date-heure].txt
[*] SX Check&Update[/list]
@+
Navigation
[#] Page suivante
Sortir du mode mobile